1 Тема от CrashX (11 лет назад)

  • CrashX
  • CrashX
  • ===РИДДИК^2===
  • Автор темы
  • Активен
  • Стаж: 13 лет 11 месяцев
  • Сообщений: 17 057
  • Репутация: [ 454 | 3 ]

Тема: Linux MAIL server

в общем вот такая сеть
00

внешний IP белый
MX, SPF, CNAME, записи есть (на стороне регистратора)
PTR запись есть (обратная зона, на стороне провайдера)
DKIM запись есть (регистратор)
----

есть шлюз по принципу автономный
Debian 7 )
на нем
vpn, ntp, ssh, iptables, dns, dhcp, sqiud
больше там ничего нет и должно быть...
есть мысль оттуда перенести dhcp и dns для локальной зоны отдельно сделать, но пока он общий


есть mail (расположен в виртуалке, но это не важно, по сути таже железяка...)
Debian 7
в качестве почтаря стоит iRedMail 8.4
тк у него есть возможность игтеграции с AD 2003 но пока это не так важно, это следующий шаг


сложность в том что
iRedMail нацелен на нахождение на шлюзе, что в моем случае невозможно.
тк моя политика каждая отдельная роль - сервер так удобнее управлять сервисами, заглушив один сервер все продолжает работать...



на шлюзе настроено ось так...

#пробрасываем
VMAIL=192.168.0.100
##WAN 1 20/20 [mb/s]
WAN1=eth1
WIP1=внешний IP

##WAN 2 RESERVED 8/4 [mb/s]
WAN2=eth2
WIP2=внешний IP

# smtp, submission
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 25 -j DNAT --to-destination $VMAIL:25
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 587 -j DNAT --to-destination $VMAIL:587

# pop3, pop3s
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 110 -j DNAT --to-destination $VMAIL:110
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 995 -j DNAT --to-destination $VMAIL:995

# imap, imaps
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 143 -j DNAT --to-destination $VMAIL:143
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 993 -j DNAT --to-destination $VMAIL:993

#ETC
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 465 -j DNAT --to-destination $VMAIL:465
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 443 -j DNAT --to-destination $VMAIL:443

telnet работает по 25 и 110
почта внутри бегает на ура
почта изнутри на ружу - ходит
почта снаружи во внутрь - БОЛТ )
понимаю что наверное затык где то в POSTFIX
но сцуко он для меня мало понятен...
у него много reject листов... в общем в печали...
гуглить гулил пока толку мало...


у знамоых экзим стоит ) я не хочу его )

Тема закрыта и находится в архиве, не беспокойте автора без особой необходимости!

СайтCrashX

2 Ответ от Stranger (11 лет назад)

  • Stranger
  • Stranger
  • Участник
  • Активен
  • Стаж: 12 лет 11 месяцев
  • Сообщений: 26 321
  • Репутация: [ 268 | 107 ]

Re: Linux MAIL server

CrashX пишет:

в общем вот такая сеть
00

внешний IP белый
MX, SPF, CNAME, записи есть (на стороне регистратора)
PTR запись есть (обратная зона, на стороне провайдера)
DKIM запись есть (регистратор)
----

есть шлюз по принципу автономный
Debian 7 )
на нем
vpn, ntp, ssh, iptables, dns, dhcp, sqiud
больше там ничего нет и должно быть...
есть мысль оттуда перенести dhcp и dns для локальной зоны отдельно сделать, но пока он общий


есть mail (расположен в виртуалке, но это не важно, по сути таже железяка...)
Debian 7
в качестве почтаря стоит iRedMail 8.4
тк у него есть возможность игтеграции с AD 2003 но пока это не так важно, это следующий шаг


сложность в том что
iRedMail нацелен на нахождение на шлюзе, что в моем случае невозможно.
тк моя политика каждая отдельная роль - сервер так удобнее управлять сервисами, заглушив один сервер все продолжает работать...



на шлюзе настроено ось так...

#пробрасываем
VMAIL=192.168.0.100
##WAN 1 20/20 [mb/s]
WAN1=eth1
WIP1=внешний IP

##WAN 2 RESERVED 8/4 [mb/s]
WAN2=eth2
WIP2=внешний IP

# smtp, submission
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 25 -j DNAT --to-destination $VMAIL:25
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 587 -j DNAT --to-destination $VMAIL:587

# pop3, pop3s
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 110 -j DNAT --to-destination $VMAIL:110
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 995 -j DNAT --to-destination $VMAIL:995

# imap, imaps
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 143 -j DNAT --to-destination $VMAIL:143
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 993 -j DNAT --to-destination $VMAIL:993

#ETC
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 465 -j DNAT --to-destination $VMAIL:465
$IPT -t nat -A PREROUTING -p tcp -i $WAN1 -d $WIP1 --dport 443 -j DNAT --to-destination $VMAIL:443

telnet работает по 25 и 110
почта внутри бегает на ура
почта изнутри на ружу - ходит
почта снаружи во внутрь - БОЛТ )
понимаю что наверное затык где то в POSTFIX
но сцуко он для меня мало понятен...
у него много reject листов... в общем в печали...
гуглить гулил пока толку мало...


у знамоых экзим стоит ) я не хочу его )

а снаружи внутрь если по 25 телнетом долбануться почтовик "привет" говорит?

а ещё всякое параноидальное типа "реверс днс" проверки

Отредактировано Stranger (, 11 лет назад)

СайтStranger

3 Ответ от CrashX (11 лет назад)

  • CrashX
  • CrashX
  • ===РИДДИК^2===
  • Автор темы
  • Активен
  • Стаж: 13 лет 11 месяцев
  • Сообщений: 17 057
  • Репутация: [ 454 | 3 ]

Re: Linux MAIL server

проверка связана с MX, SPF и DKIM, PTR все это есть...

пока стоит тестовый домен мой mail.carlib.ru
тк рабочий трогать нельзя...

Stranger пишет:

а снаружи внутрь если по 25 телнетом долбануться почтовик "привет" говорит?

конечно
25 и 110 видны и прекрасно можно авторизоватся по telnet

Отредактировано (, 11 лет назад)

Тема закрыта и находится в архиве, не беспокойте автора без особой необходимости!

СайтCrashX

4 Ответ от Stranger (11 лет назад)

  • Stranger
  • Stranger
  • Участник
  • Активен
  • Стаж: 12 лет 11 месяцев
  • Сообщений: 26 321
  • Репутация: [ 268 | 107 ]

Re: Linux MAIL server

CrashX пишет:

проверка связана с MX, SPF и DKIM, PTR все это есть...

пока стоит тестовый домен мой mail.carlib.ru
тк рабочий трогать нельзя...

Stranger пишет:

а снаружи внутрь если по 25 телнетом долбануться почтовик "привет" говорит?

конечно
25 и 110 видны и прекрасно можно авторизоватся по telnet

проверка связана с тем что оно(почтовик) из нутри должно доломиться к DNS сервака где MX запись сервера
который пытается мыло просунуть снаружи, как то так

Отредактировано Stranger (, 11 лет назад)

СайтStranger

5 Ответ от demmax2004 (11 лет назад)

  • demmax2004
  • demmax2004
  • Разрушитель мифов и надежд
  • Неактивен
  • Стаж: 16 лет 1 месяц
  • Сообщений: 9 742
  • Репутация: [ 191 | 40 ]

Re: Linux MAIL server

25 и 110 видны и прекрасно можно авторизоватся по telnet

тогда странно  oO

6 Ответ от CrashX (11 лет назад)

  • CrashX
  • CrashX
  • ===РИДДИК^2===
  • Автор темы
  • Активен
  • Стаж: 13 лет 11 месяцев
  • Сообщений: 17 057
  • Репутация: [ 454 | 3 ]

Re: Linux MAIL server

Stranger, проверки подходит
тк доэтого сразу был ответ от mail.ru google и  тп  - NO PRT record
почтарю ломится можно куда угодно...
на шлюзе ему разрешено все...

demmax2004, проблема по видимому в postfix
его почти не знаю.... в нем настроек вагон и тележка...


telnet mail.carlib.ru 25
telnet mail.carlib.ru 110
пробуйте кто хочет
логин пароль
test 111

Отредактировано CrashX (, 11 лет назад)

Тема закрыта и находится в архиве, не беспокойте автора без особой необходимости!

СайтCrashX

7 Ответ от demmax2004 (11 лет назад)

  • demmax2004
  • demmax2004
  • Разрушитель мифов и надежд
  • Неактивен
  • Стаж: 16 лет 1 месяц
  • Сообщений: 9 742
  • Репутация: [ 191 | 40 ]

Re: Linux MAIL server

http://www.menandmice.com/knowledgehub/dnsqa/56/

http://technet.microsoft.com/en-us/libr … g.80).aspx


http://ru.wikipedia.org/wiki/DNS
http://forum.nic.ru/showthread.php?t=5710

Отредактировано (, 11 лет назад)

8 Ответ от CrashX (11 лет назад)

  • CrashX
  • CrashX
  • ===РИДДИК^2===
  • Автор темы
  • Активен
  • Стаж: 13 лет 11 месяцев
  • Сообщений: 17 057
  • Репутация: [ 454 | 3 ]

Re: Linux MAIL server

http://www.dnsqueries.com/en/reverse_lookup.php
http://clip2net.com/clip/m133812/1365161948-clip-11kb.png
http://clip2net.com/clip/m133812/1365162000-clip-6kb.png


demmax2004, c записями все норм...

Тема закрыта и находится в архиве, не беспокойте автора без особой необходимости!

СайтCrashX

9 Ответ от demmax2004 (11 лет назад)

  • demmax2004
  • demmax2004
  • Разрушитель мифов и надежд
  • Неактивен
  • Стаж: 16 лет 1 месяц
  • Сообщений: 9 742
  • Репутация: [ 191 | 40 ]

Re: Linux MAIL server

C:\Users\Dem>nslookup mail.carib.ru

Не заслуживающий доверия ответ:
╚ь :     mail.carib.ru
Address:  89.249.24.174



whois 89.249.24.174

% Information related to '89.249.24.160 - 89.249.24.191'

% Abuse contact for '89.249.24.160 - 89.249.24.191' is 'abuse@stackdata.net'

inetnum:        89.249.24.160 - 89.249.24.191
netname:        STACKDATA-NET
descr:          Stack Data Network
country:        RU
admin-c:        SDN
tech-c:         SDN
status:         ASSIGNED PA
remarks:        INFRA-AW
mnt-by:         MNT-SDN
source:         RIPE # Filtered

% Information related to '89.249.16.0/20AS16083'

route:          89.249.16.0/20
descr:          Stack Data Network
origin:         AS16083
mnt-by:         MNT-SDN
source:         RIPE # Filtered

C:\Users\Dem>nslookup carib.ru

Не заслуживающий доверия ответ:
╚ь :     carib.ru
Address:  89.249.24.174

C:\Users\Dem>nslookup www.carib.ru

Не заслуживающий доверия ответ:
╚ь :     www.carib.ru
Address:  89.249.24.174

Отредактировано demmax2004 (, 11 лет назад)

10 Ответ от CrashX (11 лет назад)

  • CrashX
  • CrashX
  • ===РИДДИК^2===
  • Автор темы
  • Активен
  • Стаж: 13 лет 11 месяцев
  • Сообщений: 17 057
  • Репутация: [ 454 | 3 ]

Re: Linux MAIL server

demmax2004, 

c:\>nslookup  mail.carlib.ru
Не заслуживающий доверия ответ:
╚ь :     mail.carlib.ru
Address:  109.195.36.11

http://www.nslookup.su/?host=mail.carlib.ru&rt=1
http://ping.eu/nslookup/mail.carlib.ru

незнаю у меня везде все норм даже с других северов

demmax2004, адрес сайта неверн


carLib.ru

Отредактировано CrashX (, 11 лет назад)

Тема закрыта и находится в архиве, не беспокойте автора без особой необходимости!

СайтCrashX

11 Ответ от demmax2004 (11 лет назад)

  • demmax2004
  • demmax2004
  • Разрушитель мифов и надежд
  • Неактивен
  • Стаж: 16 лет 1 месяц
  • Сообщений: 9 742
  • Репутация: [ 191 | 40 ]

Re: Linux MAIL server

Я тебе показал как есть, если все ругаются, то стоит обратить внимание, что запись не правильная.

Вопрос ты когда менял привязку доменного имени к IP ????

CrashX пишет:

demmax2004, адрес сайта неверн


carLib.ru

Понял


Тогда держи ответ другой

C:\Users\Dem>nslookup carLib.ru

Не заслуживающий доверия ответ:
╚ь :     carLib.ru
Addresses:  216.239.32.21
          216.239.34.21
          216.239.38.21
          216.239.36.21


Информация об IP-адресе 216.239.32.21

по данным ARIN:
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=216.2 … xt=netref2
#

NetRange:       216.239.32.0 - 216.239.63.255
CIDR:           216.239.32.0/19
OriginAS:       
NetName:        GOOGLE
NetHandle:      NET-216-239-32-0-1
Parent:         NET-216-0-0-0-0
NetType:        Direct Allocation
RegDate:        2000-11-22
Updated:        2012-02-24
Ref:            http://whois.arin.net/rest/net/NET-216-239-32-0-1


OrgName:        Google Inc.
OrgId:          GOGL
Address:        1600 Amphitheatre Parkway
City:           Mountain View
StateProv:      CA
PostalCode:     94043
Country:        US
RegDate:        2000-03-30
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/GOGL

OrgAbuseHandle: ZG39-ARIN
OrgAbuseName:   Google Inc
OrgAbusePhone:  +1-650-253-0000
OrgAbuseEmail:  arin-contact@google.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/ZG39-ARIN

OrgTechHandle: ZG39-ARIN
OrgTechName:   Google Inc
OrgTechPhone:  +1-650-253-0000
OrgTechEmail:  arin-contact@google.com
OrgTechRef:    http://whois.arin.net/rest/poc/ZG39-ARIN

RTechHandle: ZG39-ARIN
RTechName:   Google Inc
RTechPhone:  +1-650-253-0000
RTechEmail:  arin-contact@google.com
RTechRef:    http://whois.arin.net/rest/poc/ZG39-ARIN


C:\Users\Dem>nslookup mail.carlib.ru

Не заслуживающий доверия ответ:
╚ь :     mail.carlib.ru
Address:  109.195.36.11

Отредактировано (, 11 лет назад)

12 Ответ от CrashX (11 лет назад)

  • CrashX
  • CrashX
  • ===РИДДИК^2===
  • Автор темы
  • Активен
  • Стаж: 13 лет 11 месяцев
  • Сообщений: 17 057
  • Репутация: [ 454 | 3 ]

Re: Linux MAIL server

demmax2004, да нормальны записи
то что ругается то только провайдеры и то не все имеют
доверие делается через сертификаты а он стоит денег от 5 до 20т
и это почтовику ненужно, это делается для других целей

еще IP для корня и для подомена разные, так и должно быть как...
тк хостинг на джино
а почта на моем серваке

ДНС зоны все обновлены, привязка сделана в начале недели,
ходить и сообщать все что нужно начало уже через 3 часа )


------------------------------

UPD

Гыыыы настроил _)))

проблема была в маршрутизируемых подсетях, не хватало 192.168.0.0/24 и 10.10.10.0/16 так же желательно указать филиальные сети), и преставлении сервера ) он неправильно представлялся ) теперь пофиксил

еще добавил пару записей в DNS точнее 1 DMARC )
DKIM+DMARC = больше вероятность не попасть в блек и грей литсы

Отредактировано CrashX (, 11 лет назад)

Тема закрыта и находится в архиве, не беспокойте автора без особой необходимости!

СайтCrashX